In oktober 2019 is de CNIL een onderzoek gestart naar de verwerkingen van klant- en prospectgegevens door AG2R. Hieruit kwam naar voren dat er wel bewaartermijnen waren gesteld in het privacybeleid, maar dat deze niet waren geïmplementeerd in de bedrijfssystemen. De Franse verzekeringsgroep erkende dit probleem en vertelde dat er een implementatieplan stond gepland voor begin 2020. Het in juli gepubliceerde boetebesluit is gebaseerd op twee groepen persoonsgegevens: ca. 2000 prospects en ruim 2 miljoen klanten met een verzekering.
Verschillende soorten gegevens
Voor de prospectgegevens was in het privacybeleid een termijn van drie jaar na registratie óf het laatste contact op initiatief van de prospect opgenomen. In werkelijkheid bleek dat de gegevens langer dan drie jaar werden bewaard en voor bijna driekwart van de prospects zelfs langer dan vijf jaar.
Voor de ruim 2 miljoen klantgegevens gelden andere, wettelijk bepaalde termijnen. Maar ook daar ging het volgens de CNIL niet goed. Zo werden gegevens van enkele duizenden klanten met een schadeverzekering langer dan tien jaar bewaard (in sommige gevallen zelfs meer dan dertig jaar), terwijl de bewaartermijn tussen de twee en tien jaar ligt. Ook werden gegevens van de ruim 2 miljoen klanten met een gezondheidsverzekering langer bewaard dan de wettelijk bepaalde termijn van vijf jaar. Van 1,3 miljoen klanten waren de gegevens zelfs ouder dan tien jaar en van enkele duizenden zelfs langer dan dertig jaar.
De Franse toezichthouder vindt daarbij dat AG2R niet heeft kunnen aantonen dat er een noodzaak bestaat om de gegevens langer dan de gestelde termijnen te bewaren. AG2R heeft sinds het onderzoek stappen genomen om de bewaartermijnen te hanteren en het bestand op te schonen, maar er wordt nog steeds gedeeltelijk inbreuk gemaakt. Wél hebben deze stappen en het feit dat er een plan wordt uitgevoerd er aan bijgedragen dat de boete lager is uitgevallen.
Informatieplicht
Naast het schenden van de bewaartermijnen voldeed AG2R ook niet aan de verplichting om betrokkenen voldoende duidelijk te informeren. Ten eerste ging het om persoonsgegevens die waren opgehaald bij een derde partij. De betrokkene moet hierover binnen maximaal een maand worden geïnformeerd over de verwerking van zijn gegevens, maar dit gebeurde niet. Ten tweede werd tijdens een audit op telemarketinggesprekken (uitgevoerd door facilitaire callcenters in opdracht van AG2R) geconstateerd dat niet werd geïnformeerd dat het gesprek werd opgenomen óf dat zij gebruik konden maken van hun recht van bezwaar. Vrijwel direct na de genoemde audit heeft AG2R haar telemarketingbeleid aangepast én ervoor gezorgd dat gesproken personen achteraf alsnog geïnformeerd werden. Hierdoor is volgens de CNIL deze overtreding gerechtvaardigd en is hier rekening mee gehouden bij de hoogte van de boete.
Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.